Language of document : ECLI:EU:C:2022:62

CONCLUSIONI DELL’AVVOCATO GENERALE

JEAN RICHARD DE LA TOUR

presentate il 27 gennaio 2022 (1)

Causa C534/20

Leistritz AG

contro

LH

[domanda di pronuncia pregiudiziale proposta dal Bundesarbeitsgericht (Corte federale del lavoro, Germania)]

«Rinvio pregiudiziale – Protezione delle persone fisiche riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 38, paragrafo 3, seconda frase – Responsabile della protezione dei dati – Divieto di rimozione per l’adempimento dei propri compiti – Fondamento giuridico – Articolo 16 TFUE – Validità – Esigenza di indipendenza funzionale – Portata dell’armonizzazione – Normativa nazionale che vieta il licenziamento senza giusta causa di un responsabile della protezione dei dati – Responsabile della protezione dei dati designato obbligatoriamente in forza della legge nazionale»






I.      Introduzione

1.        La domanda di pronuncia pregiudiziale del Bundesarbeitsgericht (Corte federale del lavoro, Germania) verte sull’interpretazione e sulla validità dell’articolo 38, paragrafo 3, seconda frase, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (2).

2.        Tale domanda è stata presentata nell’ambito di una controversia tra LH e il suo datore di lavoro, la Leistritz AG, in ordine alla risoluzione del suo contratto di lavoro motivata da una riorganizzazione dei servizi di quest’ultima, mentre, ai sensi della legge nazionale applicabile, LH può essere licenziata solo per giusta causa senza rispettare il termine di preavviso a seguito della sua designazione quale responsabile della protezione dei dati.

3.        Nelle presenti conclusioni, esporrò le ragioni per le quali ritengo che il divieto di rimozione del responsabile della protezione dei dati, previsto all’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679, non derivi da un’armonizzazione di norme sostanziali del diritto del lavoro, il che lascia agli Stati membri la facoltà di rafforzare la tutela di tale responsabile nelle loro normative nazionali in vari settori, conformemente all’obiettivo perseguito da tale regolamento.

II.    Contesto normativo

A.      Il regolamento 2016/679

4.        I considerando 10, 13 e 97 del regolamento 2016/679 sono del seguente tenore:

«(10)      Al fine di assicurare un livello crescente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione [europea], il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (...)

(...)

(13)      Per assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese, offra alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsabilità dei titolari del trattamento e dei responsabili del trattamento e assicuri un controllo coerente del trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri, e una cooperazione efficace tra le autorità di controllo dei diversi Stati membri. (...)

(...)

(97)      (...)[I] responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente».

5.        L’articolo 1 di tale regolamento, dal titolo «Oggetto e finalità», dispone, al paragrafo 1:

«Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati».

6.        L’articolo 37 del suddetto regolamento, intitolato «Designazione del responsabile della protezione dei dati», prevede, ai paragrafi 1 e da 4 a 6:

«1.      Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a)      il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b)      le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare o sistematico degli interessati su larga scala; oppure

c)      le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

(...)

4.      Nei casi diversi da quelli di cui al paragrafo 1, il titolare del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto dal diritto dell’Unione o degli Stati membri, devono designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari del trattamento o i responsabili del trattamento.

5.      Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.

6.      Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi».

7.        L’articolo 38 dello stesso regolamento, intitolato «Posizione del responsabile della protezione dei dati», è così formulato:

«1.      Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

(...)

3.      Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.

4.      Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento.

5.      Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri.

6.      Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi».

8.        L’articolo 39 del regolamento 2016/679 definisce i principali compiti del responsabile della protezione dei dati.

B.      Il diritto tedesco

9.        L’articolo 6 del Bundesdatenschutzgesetz (legge federale sulla protezione dei dati), del 20 dicembre 1990 (3), nel testo vigente dal 25 maggio 2018 al 25 novembre 2019 (4), dal titolo «Posizione», dispone, al paragrafo 4:

«La rimozione del/della responsabile della protezione dei dati è consentita solo in applicazione analogica dell’articolo 626 del Bürgerliches Gesetzbuch [codice civile]. Non è ammessa la risoluzione del rapporto di lavoro se non in presenza di fatti tali da consentire all’organismo pubblico una risoluzione per giusta causa senza preavviso. Dopo la cessazione dell’attività in qualità di responsabile della protezione dei dati, la risoluzione del rapporto di lavoro non è consentita per il periodo di un anno, a meno che l’organismo pubblico non sia legittimato alla risoluzione per giusta causa senza preavviso».

10.      L’articolo 38 del BDSG, dal titolo «Responsabile della protezione dei dati presso organismi non pubblici», dispone:

«(1)      Ad integrazione dell’articolo 37, paragrafo 1, lettere b) e c), del regolamento (...) 2016/679, il titolare del trattamento e il responsabile del trattamento designano un/una responsabile della protezione dei dati, a condizione che essi abbiano alle loro dipendenze, di norma, almeno dieci persone[ (5)] impegnate in modo permanente nel trattamento automatizzato dei dati personali. (...)

(2)      Si applica l’articolo 6, paragrafi 4, 5, seconda frase, e 6, ma il paragrafo 4 solo nel caso di obbligatorietà della designazione di un responsabile della protezione dei dati».

11.      L’articolo 134 del codice civile, nel testo pubblicato il 2 gennaio 2002 (6), dal titolo «Divieto di legge», è così formulato:

«Qualsiasi atto giuridico in contrasto con un divieto di legge è nullo, ove non sia diversamente stabilito dalla legge».

12.      L’articolo 626 di tale codice, dal titolo «Risoluzione per giusta causa senza preavviso», prevede:

«(1)      Il rapporto di lavoro può essere risolto da ciascuna delle parti del contratto per giusta causa senza osservare un periodo di preavviso, in presenza di fatti in base ai quali non sia ragionevolmente esigibile dalla parte che agisce in risoluzione la continuazione del rapporto di lavoro fino alla scadenza del periodo di preavviso oppure fino alla cessazione prevista di detto rapporto, tenendo conto di tutte le circostanze del singolo caso e valutando gli interessi di entrambe le parti del contratto.

(2)      La risoluzione può aver luogo solo entro due settimane. Il termine inizia a decorrere dal momento in cui la parte avente diritto alla risoluzione viene a conoscenza dei fatti rilevanti ai fini di detta risoluzione (...)».

III. La causa principale e le questioni pregiudiziali

13.      La Leistritz è una società di diritto privato, obbligatoriamente tenuta a designare un responsabile della protezione dei dati in forza della legge tedesca. LH ha ivi svolto le funzioni di capo servizio affari legali e di responsabile interna della protezione dei dati, rispettivamente, dal 15 gennaio 2018 e dal 1° febbraio 2018.

14.      Con lettera del 13 luglio 2018, la Leistritz ha licenziato LH con preavviso, con decorrenza 15 agosto 2018, facendo valere un provvedimento di ristrutturazione dell’impresa, nell’ambito del quale l’attività interna di consulenza legale ed il servizio di protezione dei dati erano affidati all’esterno.

15.      I giudici di merito investiti da LH della contestazione della validità del suo licenziamento hanno deciso che, conformemente al combinato disposto dell’articolo 38, paragrafo 2, e dell’articolo 6, paragrafo 4, seconda frase, del BDSG, LH, per la sua qualità di responsabile della protezione dei dati, può soltanto essere licenziata senza preavviso, per giusta causa. Orbene, il provvedimento di ristrutturazione descritto dalla Leistritz non costituisce una giusta causa di licenziamento senza preavviso.

16.      Il giudice del rinvio, investito del ricorso per cassazione («Revision») proposto dalla Leistritz, fa rilevare che, in forza della legge tedesca, il licenziamento di LH è nullo, in applicazione di tali disposizioni e dell’articolo 134 del codice civile (7). Esso rileva però che l’applicabilità di tali disposizioni dipende dalla questione se il diritto dell’Unione, ed in particolare l’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679, autorizzi una normativa di uno Stato membro che sottopone il licenziamento di un responsabile della protezione dei dati a condizioni più rigorose di quelle previste dal diritto dell’Unione. In caso di risposta negativa, esso sarebbe tenuto ad accogliere il ricorso per cassazione («Revision»).

17.      Di conseguenza, il Bundesarbeitsgericht (Corte federale del lavoro) ha deciso di sospendere il giudizio e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1)      Se l’articolo 38, paragrafo 3, seconda frase, del regolamento [2016/679] debba essere interpretato nel senso che osti ad una disposizione nazionale, quale l’articolo 38, paragrafi 1 e 2, in combinato disposto con l’articolo 6, paragrafo 4, seconda frase, del [BDSG], che dichiari inammissibile la risoluzione ordinaria del rapporto di lavoro del responsabile della protezione dei dati da parte del titolare del trattamento, suo datore di lavoro, indipendentemente dal fatto che la risoluzione avvenga per motivi inerenti all’adempimento dei suoi compiti.

2)      In caso di risposta affermativa alla prima questione:

Se l’articolo 38, paragrafo 3, seconda frase, del [regolamento 2016/679] osti ad una disposizione nazionale di tal genere anche qualora la designazione del responsabile della protezione dei dati sia obbligatoria non in forza dell’articolo 37, paragrafo 1, [di tale regolamento], bensì unicamente in base alla normativa dello Stato membro.

3)      In caso di risposta affermativa alla prima questione:

Se l’articolo 38, paragrafo 3, seconda frase, del [regolamento 2016/679] possieda sufficiente fondamento normativo, in particolare laddove riguardi responsabili della protezione dei dati alle dipendenze del titolare del trattamento».

18.      LH, la Leistritz, i governi tedesco e rumeno nonché il Parlamento europeo, il Consiglio dell’Unione europea e la Commissione europea hanno presentato osservazioni scritte. Tali parti, ad eccezione dei governi tedesco e rumeno, hanno presentato le loro osservazioni orali all’udienza tenutasi il 18 novembre 2021.

IV.    Analisi

A.      Sulla prima questione pregiudiziale

19.      Con la sua prima questione, il giudice del rinvio chiede alla Corte, in sostanza, se l’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679 debba essere interpretato nel senso che osta ad una normativa nazionale ai sensi della quale il datore di lavoro di un responsabile della protezione dei dati può licenziare quest’ultimo solo per giusta causa, anche se il licenziamento non è connesso con l’adempimento dei compiti di tale responsabile.

20.      La risposta a tale interrogativo presuppone che venga precisato, in primo luogo, il contenuto dell’espressione «rimosso (...) per l’adempimento dei propri compiti» utilizzata dal legislatore dell’Unione all’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679. In secondo luogo, si dovrà determinare se gli Stati membri abbiano la facoltà di estendere le garanzie di cui gode il responsabile della protezione dei dati in applicazione di tale disposizione.

1.      Sulla tutela del responsabile della protezione dei dati prevista allarticolo 38, paragrafo 3, seconda frase, del regolamento 2016/679

21.      L’articolo 38 del regolamento 2016/679 figura al capo IV di tale regolamento, relativo al «[t]itolare del trattamento e responsabile del trattamento», in particolare in seno alla sezione 4, dal titolo «Responsabile della protezione dei dati». Tale sezione contiene tre articoli relativi, rispettivamente, alla designazione del responsabile della protezione dei dati (8), alla sua posizione (9) e ai suoi compiti, che consistono, essenzialmente, nel fornire consulenza personale sul trattamento dei dati e nel sorvegliare l’osservanza delle norme sulla protezione dei dati (10).

22.      Per l’interpretazione dell’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679, si deve tener conto, secondo la giurisprudenza costante della Corte, non soltanto del tenore letterale di tale disposizione, ma anche del suo contesto e degli scopi perseguiti dalla normativa di cui essa fa parte (11).

23.      Per quanto riguarda la formulazione dell’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679, rilevo che essa esprime un obbligo in termini negativi. Infatti, secondo il tenore di tale disposizione, «[i]l responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti» (12).

24.      Pertanto, tale disposizione definisce il perimetro della protezione del responsabile della protezione dei dati. Quest’ultimo è tutelato, da un lato, contro qualsiasi decisione che ponga fine ai propri compiti o gli faccia subire svantaggi qualora, dall’altro, tale decisione sia connessa con l’adempimento dei propri compiti.

25.      Per quanto riguarda la distinzione tra il provvedimento di rimozione del responsabile della protezione dei dati e quello che lo penalizza, rilevo, in primo luogo, che nessuna disposizione del regolamento 2016/679 definisce esplicitamente o implicitamente tali provvedimenti (13).

26.      Al termine dell’esame comparato di altre versioni linguistiche, può ritenersi che all’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679 siano considerate misure di due tipi, e cioè quelle che pongono fine ai compiti del responsabile della protezione dei dati nonché quelle che costituiscono sanzioni o sfavoriscono tale responsabile, qualunque sia il loro contesto. Pertanto, tali definizioni possono ricomprendere i licenziamenti con i quali il datore di lavoro pone fine ad un contratto di lavoro (14).

27.      I risultati delle ricerche vertenti sulla genesi legislativa dell’articolo 38 del regolamento 2016/679 a cui ho potuto aver accesso non consentono, in mancanza di elementi dettagliati, di essere edotti sulle precise intenzioni del legislatore dell’Unione quanto alla portata del termine «rimosso». Si può soltanto constatare che l’aggiunta redazionale relativa alla rimozione è intervenuta tardivamente nell’iter legislativo (15) nel corso del quale, nel contempo, è stato soppresso il seguente inciso, che figurava dopo «il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati»: «possa agire in maniera indipendente nell’adempimento dei propri compiti» (16). Se ne potrebbe dedurre che tale legislatore abbia inteso concretizzare l’obbligo di non rimuovere il responsabile della protezione dei dati per l’adempimento dei propri compiti.

28.      Rilevo altresì che il legislatore dell’Unione ha scelto di riprodurre tale e quale la formulazione dell’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679 all’articolo 44, paragrafo 3, seconda frase, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (17). Tuttavia, non può essere ricavata alcuna precisazione dai documenti relativi all’elaborazione del regolamento 2018/1725, il che è giustificato, a mio modo di vedere, dall’aggiunta, all’articolo 44, paragrafo 8, di un’altra garanzia essenziale offerta al responsabile della protezione dei dati, e cioè che esso «può essere destituito dalle sue funzioni dall’istituzione o dall’organo dell’Unione che lo ha designato, se non soddisfa più le condizioni richieste per l’esercizio delle sue funzioni, solo con il consenso del Garante europeo della protezione dei dati».

29.      In secondo luogo, rilevo che all’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679 non viene operata alcuna distinzione a seconda che il responsabile della protezione dei dati sia o meno un dipendente del titolare del trattamento o del responsabile del trattamento (18). Infatti, tale regolamento non contiene alcuna disposizione relativa all’interdipendenza tra le decisioni che fossero prese dal datore di lavoro nell’ambito del rapporto di lavoro e quelle relative ai compiti di tale delegato. Il solo limite fissato verte sul motivo per cui non può essere rimosso il responsabile della protezione dei dati, e cioè qualsiasi motivo relativo all’adempimento dei suoi compiti.

30.      Per quanto riguarda l’obiettivo perseguito dal legislatore dell’Unione, esso giustifica la redazione in termini generali dell’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679 nonché la scelta di tale limite.

31.      Infatti, nel progetto di motivazione del Consiglio viene precisato che la designazione di un responsabile della protezione dei dati mira a migliorare l’osservanza del regolamento 2016/679 (19). Per questo motivo l’articolo 38, paragrafo 3, seconda frase, di tale regolamento fissa obblighi di natura tale da garantire l’indipendenza di tale delegato. Così, nello stesso articolo si prevede che il responsabile della protezione dei dati non debba ricevere alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti e che egli debba riferire direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento (20). Egli è altresì soggetto al segreto professionale o ad un obbligo di riservatezza (21).

32.      Viene quindi posto l’accento sul carattere rigoroso della disciplina dei compiti del responsabile della protezione dei dati che è particolarmente giustificato quando tale responsabile viene designato da un titolare del trattamento che è suo datore di lavoro. Pertanto, attraverso il divieto sancito all’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679, vengono garantite le prerogative di cui il detto responsabile gode per l’adempimento dei propri compiti, che, in taluni casi, possono essere difficilmente conciliabili con quelle fissate dal datore di lavoro nell’ambito del rapporto di lavoro.

33.      L’interpretazione secondo la quale tale disposizione ha il solo scopo di organizzare l’esercizio in maniera indipendente dei compiti del responsabile della protezione dei dati è corroborata dal contesto nel quale essa è stata adottata.

34.      A tale riguardo, si deve sottolineare che il regolamento 2016/679, ai sensi del suo articolo 1, ha lo scopo di stabilire le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché quelle relative alla libera circolazione di tali dati. Pertanto, esso è stato adottato sul fondamento dell’articolo 16, paragrafo 2, TFUE (22), il che porta a considerare, come ho già esposto in occasione di conclusioni precedenti, che, benché la protezione dei dati personali sia per natura trasversale, l’armonizzazione operata da tale regolamento è limitata agli aspetti specificamente trattati dal detto regolamento in tale materia (23).

35.      Per tutte queste ragioni, è fuor di dubbio, a mio parere, che la tutela specifica del responsabile della protezione dei dati, prevista all’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679, sia propria dello scopo di tale regolamento, in quanto essa viene a rafforzare l’autonomia di tale responsabile. Essa non rientra quindi nel più ampio ambito della tutela dei lavoratori (24).

36.      Di conseguenza, si pone nuovamente la questione di stabilire se, al di fuori degli aspetti specificamente trattati dal regolamento 2016/679, gli Stati membri restino liberi di legiferare, a condizione che essi non pregiudichino il contenuto e gli obiettivi di tale regolamento (25).

2.      Sulla facoltà degli Stati membri di estendere le garanzie offerte al responsabile della protezione dei dati dallarticolo 38, paragrafo 3, seconda frase, del regolamento 2016/679

37.      A mio parere, l’obiettivo del regolamento 2016/679 sancito al suo considerando 13, in applicazione del quale il legislatore dell’Unione garantisce l’indipendenza del responsabile della protezione dei dati in termini generali all’articolo 38, paragrafo 3, seconda frase, di tale regolamento (26), giustifica il fatto che deve poter essere adottata da uno Stato membro ogni altra misura diretta a rafforzare l’autonomia di tale responsabile nell’adempimento dei suoi compiti.

38.      Questa interpretazione non è in contraddizione con gli effetti di un regolamento, quali definiti all’articolo 288, secondo comma, TFUE, né con il conseguente obbligo per gli Stati membri di non derogare ad un regolamento vincolante in tutti i suoi elementi e direttamente applicabile o di integrarlo, a meno che non vi siano disposizioni di tale regolamento che riconoscono agli Stati membri un margine discrezionale che debba o possa, a seconda dei casi, essere utilizzato da questi ultimi alle condizioni e nei limiti previsti da tali disposizioni (27).

39.      Di conseguenza, ribadisco il mio parere secondo cui l’ampiezza dell’armonizzazione operata dal regolamento 2016/679 varia a seconda delle disposizioni considerate. La determinazione della portata normativa di tale regolamento richiede quindi un esame caso per caso (28).

40.      A questo proposito, rilevo che l’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679 riguarda la rimozione del responsabile della protezione dei dati in quanto connessa unicamente all’adempimento dei suoi compiti, che si presume corretto (29), sotto forma di divieto, senza introdurre un grado di gravità del motivo fatto valere o considerare i vari aspetti del rapporto di subordinazione con il suo datore di lavoro che possono aver effetto sulla sua designazione. Pertanto, non sono stati considerati, ad esempio, la durata del contratto di lavoro, né il motivo personale o economico della risoluzione di quest’ultimo, eventualmente negoziabile, né ancora la sospensione del rapporto di lavoro per malattia, formazione, congedi annuali o di lunga durata.

41.      Inoltre, l’intenzione del legislatore dell’Unione di lasciare agli Stati membri il compito di integrare le disposizioni poste a tutela dell’indipendenza del responsabile della protezione dei dati sulla base di un quadro legislativo minimo relativo all’esecuzione dei compiti di quest’ultimo, definito secondo gli obiettivi del regolamento 2016/679, si manifesta altresì con la mancanza di qualsiasi prescrizione relativa alla durata del mandato di tale responsabile – contrariamente a quanto prevede l’articolo 44, paragrafo 8, prima frase, del regolamento 2018/1725 – (30) o relativa al caso, come nella fattispecie, di ristrutturazione di un’impresa avente l’effetto di affidare all’esterno le funzioni di responsabile della protezione dei dati per motivi non inerenti all’adempimento dei compiti di quest’ultimo.

42.      Di conseguenza, gli Stati membri possono decidere di rafforzare l’indipendenza del responsabile della protezione dei dati, in quanto esso partecipa all’attuazione degli obiettivi del regolamento 2016/679, più in particolare in materia di licenziamento, qualora non esista alcuna disposizione di diritto dell’Unione che possa servire da fondamento ad una tutela specifica e concreta di tale figura contro il licenziamento per motivi indipendenti dall’adempimento dei suoi compiti, mentre la risoluzione del rapporto di lavoro ha necessariamente la conseguenza di porre fine a questi ultimi.

43.      A tal riguardo, si deve ricordare che, in materia di tutela dei lavoratori, in caso di risoluzione del contratto di lavoro, l’articolo 153, paragrafo 1, lettera d), TFUE, precisa che l’Unione sostiene e completa l’azione degli Stati membri, e che, più in generale, nel settore della politica sociale, l’Unione e gli Stati membri dispongono, in forza dell’articolo 4, paragrafo 2, lettera b), TFUE, per gli aspetti definiti nel Trattato FUE, di una competenza concorrente, ai sensi dell’articolo 2, paragrafo 2, TFUE.

44.      Di conseguenza, ciascuno Stato membro è libero di adottare disposizioni particolari in materia di licenziamento del responsabile della protezione dei dati, purché tali disposizioni siano compatibili con il regime di tutela di quest’ultimo previsto dal regolamento 2016/679 (31).

45.      Come risulta dall’esame succinto della normativa degli Stati membri che ho potuto consultare (32), la maggior parte di loro non ha adottato disposizioni particolari relative al licenziamento, limitandosi al divieto sancito all’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679, direttamente applicabile (33).

46.      Tuttavia, altri Stati membri hanno operato la scelta di integrare tale articolo (34).

47.      A questo proposito, rilevo che il gruppo di lavoro «Articolo 29» ha considerato che, «[n]ell’ambito di una normale gestione, e come avviene per ogni altro dipendente o subcontraente conformemente al diritto contrattuale o al diritto del lavoro e al diritto penale applicabili a livello nazionale, e secondo le condizioni ivi fissate, un [responsabile della protezione dei dati] potrà sempre essere licenziato legittimamente per cause diverse dall’adempimento dei propri compiti di [responsabile della protezione dei dati] (ad esempio, in caso di furto, di molestie fisiche, morali o sessuali o di altri gravi illeciti analoghi)» (35).

48.      Indipendentemente dalla scelta degli Stati membri, l’organo amministrativo o giurisdizionale in ciascuno di essi incaricato di controllare la legittimità della causa di rimozione del responsabile della protezione dei dati contribuisce anch’esso, a mio modo di vedere, a garantire l’indipendenza di tale responsabile.

49.      Infatti, essendo altamente probabile che il nesso con il soddisfacente adempimento dei compiti del responsabile della protezione dei dati non risulti espressamente dalla decisione della sua rimozione (36), è concepibile una tutela generale fondata sulla sola qualità di responsabile della protezione dei dati. Nella fattispecie, risulta dalle spiegazioni del giudice del rinvio che è la nozione di «giusta causa», quale interpretata nel diritto tedesco, che porta a ritenere, per scrupolo di tutela aggiuntiva, che non possa essere posto fine ai compiti del responsabile della protezione dei dati in caso di ristrutturazione (37). Nello stesso senso, si potrebbe del resto considerare che, in caso di difficoltà economiche dell’impresa che ha l’obbligo di designare un responsabile della protezione dei dati e ha scelto a tal fine uno dei suoi dipendenti, i compiti di quest’ultimo, in ragione dell’obiettivo del regolamento 2016/679 e del contributo di tale responsabile al conseguimento di quest’ultimo, dovrebbero continuare ad essere svolti finché perdura l’attività del datore di lavoro.

50.      Tuttavia, il divieto sancito all’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679 trova necessariamente dei limiti in caso di disfunzioni oggettive nell’adempimento dei compiti del responsabile della protezione dei dati in relazione ai suoi obblighi. Tali limiti devono essere fissati in conformità con l’obiettivo perseguito da tale regolamento (38).

51.      Pertanto, un’interpretazione altrettanto conforme all’obiettivo del regolamento 2016/679 deve condurre, a mio parere, ad ammettere che un responsabile della protezione dei dati possa essere rimosso qualora non risponda più ai criteri qualitativi necessari all’adempimento dei propri compiti, quali enunciati all’articolo 37, paragrafo 5, di tale regolamento, o non rispetti gli obblighi stabiliti all’articolo 38, paragrafo 3, prima e terza frase, nonché paragrafi 5 e 6, del detto regolamento (39) ovvero ancora qualora il suo livello di competenza si riveli insufficiente (40).

52.      Di conseguenza, sono del parere che l’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679 debba essere interpretato nel senso che non osta ad una normativa nazionale che preveda che il datore di lavoro di un responsabile della protezione dei dati può licenziare quest’ultimo solo per giusta causa, anche se il licenziamento non è connesso con l’adempimento dei compiti di tale responsabile.

53.      Ove tuttavia la Corte non condividesse tale parere e decidesse di rispondere in senso affermativo alla prima questione del giudice del rinvio, dovrebbe darsi risposta alle altre due questioni pregiudiziali.

B.      Sulla seconda questione pregiudiziale

54.      Con la sua seconda questione, il giudice del rinvio intende stabilire se l’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679 osti ad una normativa nazionale che dichiara illegittimo il licenziamento del responsabile della protezione dei dati da parte del suo datore di lavoro in assenza di giusta causa, anche se tale licenziamento non è connesso con l’adempimento dei compiti dell’interessato, qualora la designazione del responsabile della protezione dei dati sia obbligatoria non in forza dell’articolo 37, paragrafo 1, di tale regolamento, ma unicamente in forza del diritto nazionale, come previsto dall’articolo 37, paragrafo 4, del detto regolamento.

55.      Osservo che né l’articolo 38, paragrafo 3, del regolamento 2016/679 né le altre disposizioni della sezione 4 di tale regolamento, relativa al responsabile della protezione dei dati, operano alcuna distinzione a seconda che la designazione di tale responsabile sia obbligatoria o facoltativa.

56.      Di conseguenza, sono del parere di rispondere al giudice del rinvio nel senso che l’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679 si applica senza che occorra distinguere a seconda che il responsabile della protezione dei dati sia obbligatoriamente designato in forza del diritto dell’Unione o in forza del diritto nazionale.

C.      Sulla terza questione pregiudiziale

57.      Con la sua terza questione, il giudice del rinvio si pone il problema della validità dell’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679 e, in particolare, la questione se tale disposizione si basi su un fondamento giuridico sufficiente, in particolare laddove riguardi responsabili della protezione dei dati alle dipendenze del titolare del trattamento.

58.      Propongo alla Corte di considerare che l’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679 si basa su un fondamento giuridico sufficiente, in quanto esso ha unicamente lo scopo di tutelare il responsabile della protezione dei dati contro qualsiasi ostacolo nell’adempimento dei propri compiti e che questa garanzia, a prescindere dall’esistenza di un rapporto di lavoro, contribuisce alla realizzazione effettiva degli obiettivi di tale regolamento.

59.      Infatti, da un lato, come ho spiegato nell’ambito dell’analisi della prima questione pregiudiziale (41), l’articolo 16 TFUE costituisce il fondamento giuridico su cui si basa il detto regolamento. Inoltre, la Corte ha dichiarato che, fatto salvo l’articolo 39 TUE, tale disposizione costituisce una base giuridica adeguata quando la protezione dei dati personali è una delle finalità o delle componenti essenziali delle norme adottate dal legislatore dell’Unione (42).

60.      Dall’altro lato, una di tali condizioni è, a mio modo di vedere, pienamente soddisfatta per quanto riguarda il ruolo del responsabile della protezione dei dati e della sua disciplina, quali definiti dal regolamento 2016/679. La garanzia dell’indipendenza funzionale di tale responsabile, diretta a soddisfare l’esigenza di assicurare, ad un livello elevato, il rispetto dei diritti fondamentali delle persone interessate dal trattamento dei dati personali (43), si è tradotta, all’articolo 38, paragrafo 3, seconda frase, di tale regolamento, nell’introduzione di un divieto di sua rimozione per motivi inerenti ai suoi compiti. Dato che tale disposizione non impone alcuna armonizzazione nel diritto del lavoro, il legislatore dell’Unione non ha ecceduto i poteri normativi ad esso conferiti all’articolo 16, paragrafo 2, TFUE.

61.      Per quanto riguarda il rispetto dei principi di sussidiarietà e di proporzionalità, pure sul quale il giudice del rinvio si pone interrogativi, rilevo, in primo luogo, che l’intensificazione dei trattamenti transfrontalieri dei dati personali giustifica il fatto che la protezione di questi ultimi alla luce dei diritti fondamentali sia attuata a livello di Unione (44), garantendo in particolare le prerogative del responsabile della protezione dei dati considerato come un «protagonista» di tale protezione (45). In secondo luogo, l’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679 non mi sembra eccedere quanto necessario per garantire l’indipendenza funzionale di tale responsabile. Vero è che la garanzia di non essere rimosso, prevista da tale disposizione, ha necessariamente un’incidenza sul rapporto di lavoro. Tuttavia, tale incidenza è unicamente diretta a salvaguardare l’effetto utile della funzione del responsabile della protezione dei dati.

62.      Di conseguenza, sono del parere che debba rispondersi al giudice del rinvio nel senso che dall’esame della terza questione pregiudiziale non è emerso alcun elemento di natura tale da inficiare la validità dell’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679.

V.      Conclusione

63.      Alla luce di tutte le considerazioni che precedono, propongo alla Corte di rispondere alle questioni pregiudiziali sollevate dal Bundesarbeitsgericht (Corte federale del lavoro, Germania) nei seguenti termini:

In via principale:

–        L’articolo 38, paragrafo 3, seconda frase, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che non osta ad una normativa nazionale ai sensi della quale il datore di lavoro di un responsabile della protezione dei dati può licenziare quest’ultimo solo per giusta causa, anche se il licenziamento non è connesso con l’adempimento dei compiti di tale responsabile.

In via subordinata, nel caso in cui la Corte risponda alla prima questione pregiudiziale in senso affermativo:

–        L’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679 si applica senza che occorra distinguere a seconda che il responsabile della protezione dei dati sia obbligatoriamente designato in forza del diritto dell’Unione o in forza del diritto nazionale.

–        Dall’esame della terza questione pregiudiziale non è emerso alcun elemento di natura tale da inficiare la validità dell’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679.


1      Lingua originale: il francese.


2      GU 2016, L 119, pag. 1, come rettificato da GU 2018, L 127, pag. 2.


3      BGBl. 1990 I, pag. 2954.


4      BGBl. 2017 I, pag. 2097; in prosieguo: il «BDSG».


5      All’articolo 38, paragrafo 1, prima frase, del BDSG, nel testo vigente dal 26 novembre 2019, il numero dei dipendenti è stato portato a «20».


6      BGBl. 2002 I, pag. 42, rettificato a pag. 2909, e BGBl. 2003 I, pag. 738.


7      Il giudice del rinvio ha aggiunto che, secondo la sua giurisprudenza, non costituisce una giusta causa di rimozione il fatto che, in ragione di una modifica organizzativa, la protezione dei dati in seno all’azienda debba essere assicurata per il futuro da un responsabile esterno della protezione dei dati [v. sentenza del Bundesarbeitsgericht (Corte federale del lavoro) 10 AZR 562/09, del 23 marzo 2011, punto 18, consultabile sul seguente sito Internet: https://www.bundesarbeitsgericht.de/entscheidung/10-azr-562-09/].


8      Articolo 37 di tale regolamento.


9      Articolo 38 del detto regolamento.


10      Articolo 39 dello stesso regolamento.


11      V., in particolare, sentenza del 12 maggio 2021, Bundesrepublik Deutschland (Avviso rosso dell’Interpol) (C‑505/19, EU:C:2021:376, punto 77).


12      Il corsivo è mio.


13      A questo proposito, nel documento intitolato «Linee guida sui responsabili della protezione dei dati» (in prosieguo: le «linee guida sugli RPD»), adottate il 13 dicembre 2016 ed emendate il 5 aprile 2017, disponibili sul sito https://ec.europa.eu/newsroom/article29/items/612048/en, il gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali, istituito dall’articolo 29 della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 13) (in prosieguo: il «gruppo di lavoro “Articolo 29”»), ha precisato che «[l]e sanzioni possono presentare forme diverse e possono essere dirette o indirette. Può trattarsi, ad esempio, di mancata o ritardata promozione, di freni all’avanzamento di carriera o di negata concessione di vantaggi di cui beneficiano altri lavoratori. Non è necessario che tali sanzioni siano effettivamente applicate, ma basta che venga utilizzata una semplice minaccia per sanzionare il [responsabile della protezione dei dati] per motivi connessi alle sue attività di [responsabile della protezione dei dati]» (pagg. 18 e 19). A partire dall’entrata in vigore del regolamento 2016/679, tale gruppo di lavoro è stato sostituito dal Comitato europeo per la protezione dei dati (CEPD). Quest’ultimo ha approvato le linee guida sugli RPD nel corso della sua prima assemblea plenaria, il 25 maggio 2018 (v. https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf).


14      Come sottolinea LH, oltre alla versione in lingua tedesca dell’articolo 38, paragrafo 3, seconda frase, del regolamento 2016/679 («abberufen»), talune versioni linguistiche, come quelle nelle lingue spagnola («destituido»), francese («relevé») o portoghese («destituído»), mostrano chiaramente che tale regolamento riguarda il fatto di porre fine alla posizione del responsabile della protezione dei dati e non al «rapporto di lavoro» («kündigen» in lingua tedesca). V., altresì, versioni in lingua inglese («dismissed»), italiana («rimosso»), polacca («odwoływany») e rumena «demis».


15      V. nota della presidenza del Consiglio dell’Unione europea, del 3 ottobre 2014, riguardante la proposta di regolamento del Parlamento europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati) [prima lettura] – Capo IV, consultabile sul seguente sito Internet: https://data.consilium.europa.eu/doc/document/ST‑13772-2014-INIT/fr/pdf, concernente l’aggiunta, all’articolo 36, paragrafo 3, di tale proposta, del fatto che il responsabile della protezione dei dati non può essere penalizzato per l’adempimento dei propri compiti (pag. 34). V., altresì, posizione del Consiglio in prima lettura ai fini dell’adozione del regolamento del Consiglio relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), del 6 aprile 2016, consultabile sul seguente sito Internet: https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=FR, che ha adottato la formulazione attuale dell’articolo 38 del regolamento 2016/679.


16      L’espressione «in maniera indipendente» figura nell’ultima frase del considerando 97 del regolamento 2016/679.


17      GU 2018, L 295, pag. 39.


18      V., articolo 37, paragrafo 6, del regolamento 2016/679.


19      V. posizione del Consiglio in prima lettura in vista dell’adozione del regolamento del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) – Progetto di motivazione del Consiglio, del 31 marzo 2016, consultabile sul seguente sito Internet: https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CONSIL:ST_5419_2016_ADD_1_REV_1&from=FR (pag. 22). Per quanto riguarda il ruolo fondamentale del responsabile della protezione dei dati nell’applicazione del regolamento 2016/679, v. considerando 97 di tale regolamento, nonché i suoi compiti definiti all’articolo 39 del detto regolamento. A tale riguardo, il gruppo di lavoro «Articolo 29» ha ricordato, nelle linee guida sugli RPD, che, prima dell’adozione del regolamento 2016/679, esso aveva sostenuto che il responsabile della protezione dei dati era «una delle pietre angolari del regime di responsabilità e che la designazione di un [responsabile della protezione dei dati] poteva agevolare l’osservanza delle norme» (pag. 5). Tale gruppo di lavoro ha altresì rilevato che tale regolamento riconosce il responsabile della protezione dei dati «in quanto protagonista del nuovo sistema di gestione dei dati» (pag. 6). V., a mo’ di illustrazione delle esigenze di informazione del titolare del trattamento e del responsabile del trattamento alle quali il responsabile della protezione dei dati dovrebbe rispondere, sentenza del 16 luglio 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559, punto 134).


20      V. articolo 38, paragrafo 3, prima e terza frase, del regolamento 2016/679.


21      V. articolo 38, paragrafo 5, del regolamento 2016/679.


22      V. preambolo e considerando 12 del regolamento 2016/679, nonché sentenza del 15 giugno 2021, Facebook Ireland e a. (C‑645/19, EU:C:2021:483, punto 44).


23      V. mie conclusioni nella causa Facebook Ireland (C‑319/20, EU:C:2021:979, paragrafo 51).


24      In tale contesto, sono del parere che non ci si possa fondare sulle disposizioni dell’articolo 88, paragrafo 1, del detto regolamento per considerare che esse costituiscono una clausola di salvaguardia.


25      V. le mie conclusioni nella causa Facebook Ireland (C‑319/20, EU:C:2021:979, paragrafo 51).


26      V. paragrafo 31 delle presenti conclusioni.


27      V., in particolare, relativamente al regolamento 2016/679, le mie conclusioni nella causa Facebook Ireland (C‑319/20, EU:C:2021:979, paragrafo 52).


28      V. le mie conclusioni nella causa Facebook Ireland (C‑319/20, EU:C:2021:979, paragrafo 52). Inoltre, al paragrafo 55 di queste ultime, ho già richiamato l’attenzione della Corte sul fatto che il regolamento 2016/679 contiene numerose clausole di salvaguardia con le quali tale regolamento trasferisce esplicitamente la competenza normativa agli Stati membri, il che permette di distinguerlo da un regolamento classico e lo ravvicina ad una direttiva.


29      A questo proposito, come sottolinea Bielak-Jomaa, E., «Artykuł 38. Status inspektora ochrony danych», in Bielak-Jomaa, E., e Lubasz, D., RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer, Varsavia, 2018, pagg. da 794 a 806, in particolare punto 5, quarto paragrafo, il gruppo di lavoro «Articolo 29» non ha indicato alcun criterio che sia utile per determinare l’esecuzione corretta o non corretta dei compiti del responsabile della protezione dei dati. Analogamente, Foret, O., «Le rôle du DPO», in Bensamoun, A., e Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Parigi, 2020, pagg. da 233 a 239, in particolare pagg. 235 e 236, rileva che «le CEPD précise dans ses lignes directrices que (...) “le niveau d’expertise requis [pour être désigné délégué à la protection des données] n’est pas strictement défini, [mais] il doit (...) être proportionné à la sensibilité, à la complexité et au volume des données traitées par un organisme”» [il CEPD precisa nei suoi orientamenti che […]“il livello di competenza necessario [per essere designato responsabile della protezione dei dati] non è rigorosamente definito [ma] deve […] essere proporzionato alla sensibilità, alla complessità e al volume dei dati trattati da un organismo”» trad. libera]. [v. linee guida RPD (pag. 13)]. V., altresì, pag. 14 di tali linee guida. V., inoltre, paragrafi 50 e 51 delle presenti conclusioni.


30      V. Bergt, M., «Art 38. Stellung des Datenschutzbeauftragten», in Kühling, J., e Buchner, B., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Kommentar, 3ª ed., C.H. Beck, Monaco di Baviera, 2020, in particolare punto 29. Tale autore sottolinea che «[c]ontrariamente ai progetti della Commissione e del Parlamento, l’articolo 38 non prevede alcuna durata minima di mandato per la quale il responsabile della protezione dei dati debba essere designato» (trad. libera).


31      V. paragrafi 31 e 32 delle presenti conclusioni. Si può aggiungere che il legislatore dell’Unione ha deliberatamente operato questa scelta senza accogliere la proposta del Comitato economico e sociale europeo, nell’ambito dei lavori preparatori relativi al regolamento 2016/679, diretta a far meglio precisare «le condizioni legate a[lla] funzione [di responsabile della protezione dei dati], in particolare una protezione contro il licenziamento chiaramente definita, che vada oltre il periodo in cui l’interessato ha ricoperto l’incarico»: v. punto 4.11.1 del parere del Comitato economico e sociale europeo in merito alla «Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati)» (GU 2012, C 229, pag. 90).


32      V., in particolare, informazioni disponibili sui seguenti siti Internet: https://www.dlapiperdataprotection.com/index.html?t=data-protection-officers&c=HR&c2= e https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en.


33      È il caso del Regno di Danimarca, dell’Irlanda, della Repubblica di Croazia, della Repubblica italiana, della Repubblica di Cipro, della Repubblica di Malta, del Regno dei Paesi Bassi, della Repubblica d’Austria, della Repubblica di Polonia, della Repubblica portoghese, della Romania e della Repubblica di Finlandia. Nelle Repubbliche di Croazia, di Malta e di Polonia, così come nella Repubblica di Bulgaria, la rimozione o la sostituzione del responsabile dev’essere comunicata all’autorità nazionale per la protezione dei dati personali. In taluni Stati membri, come la Repubblica francese e il Granducato di Lussemburgo, è stato precisato che il responsabile della protezione dei dati non gode dello status di dipendente protetto che offrirebbe un’ulteriore garanzia rispetto a quella prevista dal regolamento 2016/679.


34      V., nella legge belga, articolo 6, terzo comma, del regio decreto relativo ai consulenti per la sicurezza e per la protezione della vita privata e alla piattaforma della sicurezza e della protezione dei dati, del 6 dicembre 2015 (Moniteur belge del 28 dicembre 2015, pag. 79268), anteriore all’entrata in vigore del regolamento 2016/679, ai sensi del quale «[i]l datore di lavoro o l’autorità competente può risolvere il contratto del consulente, porre fine all’occupazione statutaria del consulente o rimuoverlo solo per motivi estranei alla sua indipendenza o per motivi da cui risulti la sua incompetenza ad esercitare i propri compiti». Il corsivo è mio. V., altresì, nella legge spagnola, articolo 36, paragrafo 2, della Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (legge organica n. 3/2018 relativa alla protezione dei dati personali e alla garanzia dei diritti informatici), del 5 dicembre 2018 (BOE n. 294, del 6 dicembre 2018, pag. 119788), secondo il quale «[q]ualora il responsabile della protezione dei dati sia una persona fisica in seno all’organizzazione del titolare del trattamento o del responsabile del trattamento, esso non può essere né rimosso né penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti, salvo il caso di dolo o colpa grave nell’adempimento di questi ultimi». Il corsivo è mio.


35      V. linee guida sugli RPD (pag. 19). Il corsivo è mio.


36      V., in tal senso, Fajgielski, P., «Artykuł 38. Status inspektora ochrony danych», Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Wolters Kluwer, Varsavia, 2018, pagg. da 430 a 437, in particolare punto 5, quinto paragrafo. V., altresì, Kremer, S., «§ 6 Daten schutzbeauftragter», in Laue, P., Nink, J., e Kremer, S., Das neue Datenschutzrecht in der betrieblichen Praxis, 2ª ed., Nomos, Baden-Baden, 2019, in particolare punto 36, e Bergt, M., «Art 38. Stellung des Datenschutzbeauftragten», op. cit., in particolare punto 30, nonché Bussche, A., «Art. 38 DSGVO», in Plath, K.-U., DSGVO/BDSG, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 3ª ed., Otto Schmidt, Colonia, 2018, in particolare punto 19.


37      V. nota a piè di pagina 7 delle presenti conclusioni.


38      V. paragrafi 31, 60 e 61 delle presenti conclusioni.


39      V. paragrafo 31 delle presenti conclusioni. V., altresì, cause X-FAB Dresden (C‑453/21) e KISA (C‑560/21), attualmente pendenti, nelle quali la Corte viene adita da due diverse sezioni del Bundesarbeitsgericht (Corte federale del lavoro) che hanno posto le stesse questioni pregiudiziali, ma in casi di rimozione per conflitto di interessi. Nella prima di tali cause, un’ulteriore questione verte sui criteri di un conflitto del genere.


40      V., in questo senso, Kremer, S., «§ 6 Datenschutzbeauftragter», op. cit., in particolare punto 35, nonché Bussche, A., «Art. 38 DSGVO», op. cit., in particolare punto 17.


41      V. paragrafo 34 delle presenti conclusioni.


42      Parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017 (EU:C:2017:592, punto 96).


43      V. sentenza del 15 giugno 2021, Facebook Ireland e a. (C‑645/19, EU:C:2021:483, punti 44, 45 e 91).


44      V., in questo senso, sentenza del 15 giugno 2021, Facebook Ireland e a. (C‑645/19, EU:C:2021:483, punto 45 e, per analogia, punto 47).


45      V. nota a piè di pagina 19, quarta frase, delle presenti conclusioni.